La fel ca conturile de utilizator, conturile de computer dintr-un domeniu au propria lor parolă. Această parolă este necesară pentru a stabili așa-numitele „relații de încredere” între statie de lucruși domeniul. Parolele pentru computere sunt generate automat și, de asemenea, sunt modificate automat la fiecare 30 de zile.

Domeniul stochează parola curentă a computerului, precum și cea anterioară, pentru orice eventualitate :) Dacă parola este schimbată de două ori, computerul folosește Parola veche, nu se va putea autentifica la domeniu și nu se va putea instala conexiune sigură. Desincronizarea parolei poate avea loc din diverse motive, de exemplu, de la care computerul a fost restaurat copie de rezervă, sistemul de operare a fost reinstalat pe el sau a fost pur și simplu pentru o lungă perioadă de timp oprit. Ca urmare, atunci când încercăm să ne autentificăm în domeniu, vom primi un mesaj care ne spune că nu se poate stabili o relație de încredere cu domeniul.

Există mai multe modalități de a restabili încrederea. Să le privim pe toate în ordine.

Metoda unu

Deschideți snap-in " Active Directory Utilizatori și computere” și găsiți în el calculatorul potrivit. Faceți clic pe el tasta dreaptaşoarece şi meniul contextual selectați elementul „Resetare cont”. Apoi mergem la computer sub un cont local și îl reintroducem în domeniu.

Această metodă este destul de greoaie și lentă, deoarece... necesită o repornire, dar funcționează 100% din timp.

Metoda a doua

Mergem la computerul care trebuie să resetați parola, deschidem consola de comandă asigurați-vă că rulați ca administrator și introduceți comanda:

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

unde SRV1 este controlerul de domeniu, Administrator este contul administrativ din domeniu. În plus, puteți specifica parametrul /SecurePasswordPrompt, care specifică afișarea unei cereri de parolă într-un formular special.

În fereastra care se deschide, introduceți acreditările utilizatorului și faceți clic pe OK. Parola a fost resetată și acum vă puteți conecta la computer folosind un cont de domeniu. Nu este necesară repornirea.

Interesant, ghidurile de utilizare și ajutorul spun că comanda Netdom Resetpwd poate fi utilizată numai pentru a reseta parola pe un controler de domeniu nu sunt acceptate. Cu toate acestea, nu este cazul, iar echipa resetează cu succes parolele de pe serverele membre și stațiile de lucru.

De asemenea, puteți utiliza Netdom pentru a verifica existența unei conexiuni sigure la domeniu:

Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

Sau resetați cont calculator:

Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*

unde WKS1 este stația de lucru cu care resetăm contul.

Metoda este destul de rapidă și eficientă, dar există un lucru: în mod implicit, utilitarul Netdom este disponibil numai pe serverele cu rolul Activ instalat Domeniu director Servicii (AD DS). Pe mașinile client este disponibil ca parte a pachetului administrare la distanță Instrumente de administrare a serverului la distanță (RSAT).

Metoda trei

O altă utilitate linie de comandă- Nltest. Pe computerul care și-a pierdut încrederea, rulați următoarele comenzi:

Nltest/interogare - verificați o conexiune sigură la domeniu;

Nltest /sc_reset:Contoso.com - resetați contul computerului din domeniu;

Nltest /sc_change_pwd:Contoso.com - schimba parola computerului.

Cel mai rapid și mod accesibil, deoarece utilitarul Nltest este disponibil implicit pe orice stație de lucru sau server. Cu toate acestea, spre deosebire de Netdom, care necesită introducerea acreditărilor, Nltest rulează în contextul în care utilizatorul îl rulează. În consecință, dacă vă conectați la computer cu un cont local și încercați să executați o comandă, este posibil să primiți o eroare de acces.

Metoda patru

De asemenea, PowerShell poate reseta parola computerului și poate restabili o conexiune sigură la domeniu. Există un cmdlet Test-ComputerSecureChannel în acest scop. . Lansat fără parametri, va afișa starea canalului securizat - Adevărat sau Fals.

Pentru a reseta contul de computer și canalul securizat, puteți utiliza următoarea comandă:

Test-ComputerSecureChannel -Server SRV1 -Credential Contoso\Administrator -Repair

unde SRV1 este controlerul de domeniu (nu este necesar).

De asemenea, puteți utiliza această comandă pentru a vă reseta parola:

Resetare-ComputerMachineChannel -Server SRV1 -Credential Contoso\Administrator

Metoda este rapidă și convenabilă și nu necesită o repornire. Dar și aici există câteva particularități. Cheia -Credential a apărut pentru prima dată în PowerShell 3.0. Fără acest parametru, un cmdlet a fost lansat de la utilizator local, dă o eroare de acces. Se dovedește că această metodă poate fi utilizat numai pe Windows 8 și Server 2012, deoarece PowerShell 3.0 nu este încă disponibil pentru alte sisteme de operare.

După cum puteți vedea, există modalități mai mult decât suficiente de a restabili încrederea. Cu toate acestea, dacă problema devine caracter permanent, atunci este mai ușor să abordezi soluția sa din cealaltă parte.

Modificarea setărilor parolei computerului dvs

Modificarea parolei unui domeniu se face după cum urmează:

La fiecare 30 de zile, stația de lucru trimite o solicitare celui mai apropiat controler de domeniu pentru a schimba parola contului computerului. Controlerul acceptă cererea, parola este schimbată și apoi modificările sunt propagate tuturor controlerelor din domeniu la următoarea replicare.

Unele setări de modificare a parolei pot fi modificate. De exemplu, puteți modifica intervalul de timp sau puteți dezactiva complet schimbarea parolelor. Acest lucru se poate face pentru calculatoare individuale, și pentru grupuri.

Dacă setările trebuie aplicate unui grup de computere, atunci cea mai ușoară modalitate este de a utiliza politica de grup. Setările responsabile cu schimbarea parolelor se află în secțiunea Configurare computer - Politici - Setări Windows - Setări de securitate - Politici locale - Opțiuni de securitate. Suntem interesați de următorii parametri:

Dezactivați schimbarea parolei contului de mașină- dezactivează cererea de schimbare a parolei pe mașina locală;

Vârsta maximă a parolei contului de mașină- determină perioada maximă de valabilitate a parolei unui computer. Această setare determină frecvența cu care un membru al domeniului va încerca să schimbe parola. Perioada implicită este de 30 de zile, maximul poate fi setat la 999 de zile;

Refuzați modificările parolei contului de mașină- interzice schimbarea parolei la controlerele de domeniu. Dacă acest parametru este activat, controlorii vor respinge solicitările computerului de a schimba parola.

Pentru o singură mașină, puteți utiliza setările de registry. Pentru a face acest lucru, există doi parametri în secțiune:

DezactivațiPasswordChange- dacă este egal cu 1, atunci cererea de actualizare a parolei computerului este dezactivată, 0 - activată.

MaximumPasswordAge - determină perioada maximă de valabilitate a parolei unui computer în zile. Dacă doriți, puteți seta mai mult de 1 milion de zile!!!

Și în secțiune HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters, numai pentru controlere de domeniu, parametru:

Refuzați schimbarea parolei- dacă este egal cu 1, atunci interzice controlerului de domeniu să accepte o solicitare de schimbare a parolei. Acest parametru trebuie setat pe toate controlerele din domeniu.

Asta pare să fie totul despre relații de încredere. După cum puteți vedea, încrederea într-un domeniu este un lucru delicat, așa că încercați să nu o pierdeți.

Când încerc să mă conectez la un cont de utilizator de domeniu, computerul afișează „O relație de încredere nu a putut fi stabilită între această stație de lucru și domeniul principal” și nicio opțiune. Este în regulă dacă acest lucru s-a întâmplat pe un singur computer, dar s-ar putea întâmpla să se întâmple pe toate computerele din domeniu în același timp! Acesta este atas!!!

De ce se întâmplă asta:

Conturile de computer, ca și conturile de utilizator, sunt principii de securitate de domeniu. Fiecărui principal de securitate i se atribuie automat un identificator de securitate (SID) la care nivel poate accesa resursele de domeniu.

Înainte de a acorda unui cont acces la un domeniu, trebuie să verificați autenticitatea acestuia. Fiecare participant la securitate trebuie să aibă propriul cont și parolă, iar un cont de computer nu face excepție. Când vă alăturați un computer la Active Directory, este creat un cont de computer pentru acesta și este setată o parolă. Încrederea la acest nivel este asigurată de faptul că această operațiune efectuat de un administrator de domeniu sau alt utilizator cu autorizare explicită în acest sens.

Ulterior, de fiecare dată când computerul se conectează la domeniu, acesta stabilește un canal securizat cu controlerul de domeniu și îi oferă acreditările sale. Astfel, se stabilește o relație de încredere între computer și domeniu și interacțiunea ulterioară are loc în conformitate cu instalat de administrator politici de securitate și drepturi de acces.

Parola contului de computer este valabilă 30 de zile și se schimbă automat ulterior. Este important să înțelegeți că schimbarea parolei este inițiată de computer. Acest lucru este similar cu procesul de schimbare a parolei unui utilizator. După ce a descoperit că parola actuală a expirat, computerul o va înlocui data viitoare când vă conectați la domeniu. Prin urmare, chiar dacă nu ați pornit computerul de câteva luni, relația de încredere în domeniu va rămâne, iar parola va fi schimbată prima dată când vă conectați după o pauză lungă.

Încrederea este întreruptă atunci când un computer încearcă să se autentifice la un domeniu cu o parolă nevalidă. Cum se poate întâmpla asta? Cea mai ușoară modalitate este de a reveni la starea computerului, de exemplu, utilitate standard recuperarea sistemului. Același efect poate fi obținut la restaurarea dintr-o imagine, instantaneu (pentru mașini virtuale) etc.

O altă opțiune este să schimbi contul cu un alt computer cu același nume. Situația este destul de rară, dar uneori se întâmplă, de exemplu, când computerul unui angajat a fost schimbat în timp ce numele a fost salvat, cel vechi a fost eliminat din domeniu și apoi au fost reintroduși în domeniu, uitând să-l redenumească. În acest caz, când vechiul computer este reintrodus în domeniu, acesta va schimba parola contului computerului și noul computer nu se va mai putea autentifica, deoarece nu va putea stabili o relație de încredere.

Există mai multe modalități de a restabili încrederea, care pot fi găsite pe site-ul de mai sus. am facut asta:

Utilitar Netdom

Acest utilitar este inclus în Windows Serverîncepând cu ediția 2008, poate fi instalat pe computerele utilizatorului ca parte a pachetului RSAT (Remote Server Administration Tools). Pentru a-l folosi, conectați-vă la sistem țintă administrator local și rulați comanda:

Să ne uităm la opțiunile de comandă:

• Server— numele oricărui controler de domeniu
• UtilizatorD- numele contului de administrator de domeniu
• ParolaD- parola de administrator de domeniu

Metoda este destul de rapidă și eficientă, dar există o singură captură: în mod implicit, utilitarul Netdom este disponibil numai pe serverele cu rolul Active Directory Domain Services (AD DS) instalat. Pe mașinile client, este disponibil ca parte a pachetului de administrare la distanță Remote Server Administration Tools (RSAT).

Nltest utilitar (pare mai convenabil, dar nu l-am încercat)

Acest utilitar este prezent pe orice stație de lucru sau server. Cu toate acestea, spre deosebire de Netdom, care necesită introducerea acreditărilor, Nltest rulează în contextul în care utilizatorul îl rulează. În consecință, dacă vă conectați la computer cu un cont local și încercați să executați o comandă, este posibil să primiți o eroare de acces.

Nltest/interogare - verificați o conexiune sigură la domeniu;

Nltest /sc_reset: Domeniul_dvs..net - resetați contul computerului din domeniu;

Nltest /sc_change_pwd: Domeniul_dvs..net - schimba parola computerului.

Toată lumea întâmpină din când în când eroarea „O relație de încredere între această stație de lucru și domeniul principal nu a putut fi stabilită”. administrator de sistem. Dar nu toată lumea înțelege cauzele și mecanismele proceselor care duc la apariția acesteia. Pentru că fără a înțelege sensul evenimentelor curente, este imposibilă o administrare semnificativă, care este înlocuită cu executarea necugetat a instrucțiunilor.

Conturile de computer, ca și conturile de utilizator, sunt principii de securitate de domeniu. Fiecărui principal de securitate i se atribuie automat un identificator de securitate (SID) la care nivel poate accesa resursele de domeniu.

Înainte de a acorda unui cont acces la un domeniu, trebuie să verificați autenticitatea acestuia. Fiecare participant la securitate trebuie să aibă propriul cont și parolă, iar un cont de computer nu face excepție. Când vă alăturați un computer la Active Directory, este creat un cont de computer pentru acesta și este setată o parolă. Încrederea la acest nivel este asigurată de faptul că această operațiune este efectuată de un administrator de domeniu sau alt utilizator care are autoritatea explicită să facă acest lucru.

Ulterior, de fiecare dată când computerul se conectează la domeniu, acesta stabilește un canal securizat cu controlerul de domeniu și îi oferă acreditările sale. Astfel, se stabilește o relație de încredere între computer și domeniu și interacțiunea ulterioară are loc în conformitate cu politicile de securitate și drepturile de acces stabilite de administrator.

Parola contului de computer este valabilă 30 de zile și se schimbă automat ulterior. Este important să înțelegeți că schimbarea parolei este inițiată de computer. Acest lucru este similar cu procesul de schimbare a parolei unui utilizator. După ce a descoperit că parola actuală a expirat, computerul o va înlocui data viitoare când vă conectați la domeniu. Prin urmare, chiar dacă nu ați pornit computerul de câteva luni, relația de încredere în domeniu va rămâne, iar parola va fi schimbată prima dată când vă conectați după o pauză lungă.

Încrederea este întreruptă atunci când un computer încearcă să se autentifice la un domeniu cu o parolă nevalidă. Cum se poate întâmpla asta? Cea mai ușoară modalitate este de a reveni la starea computerului, de exemplu, folosind un utilitar standard de restaurare a sistemului. Același efect poate fi obținut la restaurarea dintr-o imagine, instantaneu (pentru mașini virtuale), etc.

O altă opțiune este să schimbi contul cu un alt computer cu același nume. Situația este destul de rară, dar uneori se întâmplă, de exemplu, când computerul unui angajat a fost schimbat în timp ce numele a fost salvat, cel vechi a fost eliminat din domeniu și apoi au fost reintroduși în domeniu, uitând să-l redenumească. În acest caz, când vechiul computer este reintrodus în domeniu, acesta va schimba parola contului computerului și noul computer nu se va mai putea autentifica, deoarece nu va putea stabili o relație de încredere.

Ce măsuri ar trebui să luați dacă întâmpinați această eroare? În primul rând, stabiliți motivul încălcării încrederii. Dacă a fost o derulare înapoi, atunci de către cine, când și cum a fost efectuată dacă parola a fost schimbată de un alt computer, trebuie să aflăm din nou când și în ce circumstanțe s-a întâmplat.

Exemplu simplu: calculator vechi redenumit și transferat la un alt departament, după care a apărut o eroare și a revenit automat la ultimul punct de control. După care acest PC va încerca să se autentifice în domeniul sub vechiul nume și va primi firesc o eroare de stabilire a unei relații de încredere. Cu acțiunile corecteîn acest caz, veți redenumi computerul așa cum ar trebui să fie numit, veți crea un nou punct de control și le veți șterge pe cele vechi.

Și numai după ce ne-am asigurat că încălcarea încrederii a fost cauzată în mod obiectiv acțiunile necesareși pentru acest computer puteți începe să restabiliți încrederea. Există mai multe moduri de a face acest lucru.

Utilizatori și computere Active Directory

Acesta este cel mai simplu, dar nu cel mai rapid și mod convenabil. Deschideți snap-in-ul pe orice controler de domeniu Utilizatori și computere Active Directory, găsiți contul de computer necesar și, făcând clic dreapta, selectați Resetează contul.

Apoi ne conectăm pe computerul care a pierdut relația de încredere sub administrator localși eliminați mașina din domeniu.

Apoi îl introducem înapoi, puteți sări peste repornirea dintre aceste două acțiuni. După ce ați reintrat în domeniu, reporniți și conectați-vă cu un cont de domeniu. Parola computerului va fi schimbată când repornire computer către domeniu.

Dezavantajul acestei metode este că mașina trebuie scoasă din domeniu, precum și necesitatea a două (una) reporniri.

Utilitar Netdom

Acest utilitar a fost inclus în Windows Server încă din ediția din 2008, poate fi instalat pe computerele utilizatorilor ca parte a pachetului RSAT (Remote Server Administration Tools). Pentru a-l utiliza, conectați-vă la sistemul țintă administrator localși rulați comanda:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Parolă

Să ne uităm la opțiunile de comandă:

• Server- numele oricărui controler de domeniu
• UtilizatorD- numele contului de administrator de domeniu
• ParolaD- parola de administrator de domeniu

Odată ce comanda este finalizată cu succes, nu este necesară repornirea, doar deconectați-vă de la contul dvs. local și conectați-vă la contul dvs. de domeniu.

cmdlet PowerShell 3.0

Spre deosebire de utilitarul Netdom, PowerShell 3.0 este inclus în sistem începând de la Windows 8 / Server 2012, pentru sistemele mai vechi poate fi instalat manual, sunt suportate Windows 7, Server 2008 și Server 2008 R2. Necesar ca dependență Cadrul de rețea nu mai mic de 4,0.

În mod similar, conectați-vă la sistemul pentru care doriți să restabiliți încrederea ca administrator local, lansați consola PowerShell și executați comanda:

Resetare-ComputerMachinePassword -Server DomainController -Credential Domain\Admin

• Server- numele oricărui controler de domeniu
• Acreditare- nume de domeniu / cont de administrator de domeniu

Când executați această comandă, va apărea o fereastră de autorizare în care va trebui să introduceți parola pentru contul de administrator de domeniu pe care l-ați specificat.

Cmdletul nu afișează niciun mesaj când se finalizează cu succes, așa că trebuie doar să schimbați contul, nu este necesară repornirea.

După cum puteți vedea, restabilirea relațiilor de încredere într-un domeniu este destul de simplă, principalul lucru este să stabiliți corect cauza acestei probleme; cazuri diferite va fi solicitat metode diferite. Prin urmare, nu ne obosim să repetăm: atunci când apare orice problemă, mai întâi trebuie să identificați cauza și abia apoi să luați măsuri pentru a o corecta, în loc să repetați fără minte prima instrucțiune găsită în rețea.

Bună ziua Dragi cititori Habrahabr! Pe Internet, fiecare dintre noi poate găsi multe articole individuale despre un computer care nu este autentificat printr-un controler de domeniu sau, mai precis, un computer conectat la un domeniu pierde legătura cu acesta.

Deci, să începem să studiem această problemă.

Mulți ingineri IT care lucrează în companii mari și mici au calculatoare cu operare sistem Windows 7, 8.1 etc. și toate aceste computere sunt conectate la o rețea de domeniu (DC).

Această problemă apare deoarece protocol de rețea Kerberos nu se poate sincroniza și autentifica cu un computer (relația de încredere dintre această stație de lucru și domeniul principal a eșuat) care este conectat la domeniu. Apoi putem vedea o astfel de eroare (vezi fotografia de mai jos).

După care ne uităm program terță parte, descarcă-l, creează-l unitate flash USB bootabilăși administratorul local, apoi ne conectăm prin el și părăsim domeniul, adăugăm computerul la Workgroup și apoi conectăm acest computer înapoi la domeniu.

Folosind Windows Batch scripting, vreau să creez un fișier bat și să automatizez procesul de creare și adăugare a unui administrator local. Singurul lucru de care vom avea nevoie este după creație acest fisier rulează-l.

Deschide-ne editor de text, introduceți comanda prezentată mai jos.

Net user admin Ww123456 /add /active:yes WMIC USERACCOUNT WHERE "Name="admin"" SET PasswordExpires=FALSE net localgroup Administratori admin /add net localgroup Utilizatori admin /delete netsh advfirewall dezactivați starea tuturor profilurilor
Să parcurgem toate comenzile punct cu punct pentru a elimina orice puncte neclare.

Net user admin (în loc de cuvântul admin, puteți adăuga orice nume care vi se potrivește; implicit este administrator, în cazul meu este admin).
Apoi vedem parola pe care am setat-o ​​acolo: Ww123456 (Puteți seta orice parolă pe care o vă amintiți).

După ce vedem /add /active:yes – adăugați și activați: YES

CONT DE UTILIZATOR WMIC WHERE "Nume="admin"" SET PasswordExpires=FALSE – această comandăînseamnă că administratorul care este adăugat a avut o parolă permanentă fără dată de expirare (vezi imaginea de mai jos).

Al treilea și al patrulea punct sunt interconectate prin faptul că, în mod implicit, atunci când este creat un administrator local, elementul Member Of este Utilizatori (vezi fotografia). Nu avem nevoie de el (Utilizatori) deoarece creăm un administrator cu drepturi depline pentru sistemul nostru de operare. Prin urmare, a patra comandă - net localgroup Users admin /delete - șterge utilizatorii, iar comanda anterioară - net localgroup Administrators admin /add, adaugă un administrator (vezi fotografia).

Ultima comandă, netsh advfirewall, dezactivează starea allprofiles, dezactivează firewall-ul Windows.
Uneori, pentru a instala orice program sau pentru a da orice comandă în Windows, trebuie să dezactivați firewall-ul (După rularea scriptului, puteți introduce comanda - netsh advfirewall a activat starea allprofiles și reactivați-l. Implicit, este dezactivat deoarece folosesc un firewall terță parte. Acest moment la discreția fiecărui individ).

Apoi, mergeți la bloc-notes, faceți clic pe Fișier, salvați ca... (salvați ca...) introduceți numele scriptului nostru (în cazul meu: localadmin, apoi puneți un punct (.) și scrieți formatul scriptului bat. Alegerea unui loc pentru salvare această intrareși faceți clic pe salvare. Arată mai detaliat în imagine.

Rezultatul este un script ca acesta (vezi fotografia).

Când rulează, acest script trebuie deschis ca administrator:

Clic butonul din dreapta mouse și Run ca administrator (vezi fotografia).

După rularea scriptului, ar trebui să vedeți o fereastră ca aceasta (vezi fotografia).

Dacă dintr-un motiv oarecare apare o eroare, atunci în 90% din astfel de cazuri acest lucru se datorează faptului că imaginea din care ați instalat Windows este fără licență, un fel de reambalare etc. Descărcați și utilizați software licențiat și dovedit.

După ce ați adăugat cu succes un administrator local, puteți rula acest script pe toate mașinile de lucru din biroul dvs. care au Windows instalat.

Dacă veți primi vreodată această eroare: Relația de încredere dintre această stație de lucru și domeniul principal a eșuat - Va trebui doar să schimbați utilizatorul și unde să scrieți autentificarea.\admin (rețineți! La început există un punct înaintea barei oblice! ), apoi introduceți mai jos parola pe care ați adăugat-o la script-ul dvs. (în cazul meu: Ww123456). După aceea, vă conectați la sistemul de operare care funcționează.

Tot ce rămâne este să eliminam computerul nostru din domeniu și să îl adăugați la Workgroup. În loc de Grup de lucru, introduceți orice literă (vezi fotografia).

În continuare, se introduce parola administratorului de domeniu și computerul ne cere să repornim.
După repornire, conectați-vă din nou sub administratorul nostru local și apoi adăugați computerul la domeniul nostru. Sistemul necesită încă o dată o repornire și Voila! Utilizatorul nostru se poate conecta din nou la domeniu fără probleme!

P.S – Acest sistem Funcționează și pentru partea de server Windows, totuși, dacă scrieți un astfel de script pentru servere după dezactivarea paravanului de protecție, va trebui să îl activați din nou (înainte - netsh advfirewall setează starea allprofiles dezactivată, după ce netsh advfirewall a activat starea allprofiles).

Vă mulțumim pentru atenție!